Actividad 3 |

|
Recomendaciones para presentar la Actividad: |
|
* Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que
llamars Evidencias 3. * Procura marcar siempre tus trabajos con un
encabezado como el siguiente: Nombre | CARLOS ALBERTO PEDRAZA CRUZ |
Fecha | 15 de abril de 2012 |
Actividad | TRES |
Tema | VULNERABILIDADES EN LA ORGANIZACIN Y TIPOS
DESOLUCIONES |
|

Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI

gracias a su trabajo. Tambin, para mayor proteccin, usted enunci los
procedimientos que deben llevarse a cabo para asegurar el flujo de informacin.
En este momento, es necesario que como gestor de la red reconozca los ataques

y las vulnerabilidades ms frecuentes en los sistemas, y con esta informacin

complemente su plan de accin, su esquema de seguridad, y sobre todo, sus
procedimientos.
Preguntas interpretativas
1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el
denial of service, por ejemplo, existen diferentes maneras de llevar a cabo esta
vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las
vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de
mantenimiento en el que explique esta situacin.
RTA//
Buenos das, seores tcnicos administradores de las seguridad de la red de esta
prestigiosa organizacin, por medio de informe deseo darles a conocer unos de
los principales y mas comunes ataques
en las redes informticas y que afectan de gran manera el algoritmo P/C
(productor consumidor), del cual debemos estar muy alertas pues no debemos dar
oportunidad para que este ataque se presente en nuestra red, y si se llegara a
presentar, tengamos los conocimientos necesarios y las herramienta para
contrarrestarlo y as garantizar el buen funcionamiento de nuestra red y la
integridad de nuestra informacin.
Como les informaba uno de los ataques mas frecuentes es conocido como Denial
of service.
(Denegacin del servicio)
Este ataque consiste principalmente en cortar la conexin entre productor y
consumidor. Se trata de evitar que un usuario pueda acceder a un recurso de la
red, o a un recurso propio de la mquina. Si por ejemplo, toda la red quedara
incapacitada para obtener determinados Recursos, toda la organizacin quedara
desconectada y de esta manera se Interrumpira el algoritmo P-C.

Como lo pueden evidenciar es un ataque muy importante al cual debemos

prestarle gran atencin, a continuacin les presentar y aclarare otras de las
formas en las que suele presentase este ataque.

* Consumo de recursos escasos

* Destruccin o alteracin de informacin de configuracin
* Destruccin o alteracin fsica de los componentes de la red.

Explicaremos cada uno de estos ataques y las formas de actuar

Consumo de recursos escasos:

Como es de conocimiento de todos los que integramos este selecto grupo de

trabajo, contamos con recursos que son limitados
y entre ellos encontramos el ancho de banda, al igual que la de todas las
maquinas de nuestra organizacin, no cuentan con discos duros de gran
capacidad, lo que los hace mas vulnerables a estos a taques.
Estos ataques se presentan reduciendo, o consumiendo significativamente estos
recursos, lo que hacen que los equipos y la red se vuelva demasiado lentos,
impidiendo que los equipos se conecten a la red o que los mismos equipos se
vuelvan demasiado lentos y no puedan ejecutar sus operaciones.
Estos ataques son llevados a cabo por personas mal intencionadas llamadas
crackers, los cuales ingresan al sistema con el fin de destruirlo.

SYN FLOOD:
Son generadas por falsa conexiones de PC a los protocolo TCP, estas son
interrumpidas por un cracker y puede que estas se demoren en reconocer cuales
conexiones son falsas y cuales son verdaderas.

Haciendo que durante este periodo de tiempo las maquinas queden

incomunicadas, estos ataques no afectan la red, si no los recursos propios de los
equipos.

EL SEGUNDO RECURSO, ES EL USO DE LAS CARACTERSTICAS DEL

SISTEMA SOBRE SI MISMO.

DENY OF SERVICE UDP:

Este consiste en que un cracker, en enviar paquetes de informacin UDP falsa
entre dos maquinas generando eco entre ellas, esto hace que se sature el canal
de informacin estas dos maquinas consumen todo el ancho de banda.

BOMBING:
Consiste en generar una gran cantidad de paquetes dirigidos nicamente a la
misma red. Existe un paquete o comando especial,
llamado ping, que se usa para detectar la longitud de conexiones que debe recorrer el
paquete para llegar de un origen a un destino.
Si un cracker genera una descarga masiva de paquetes ping entre dos maquinas
saturaran el ancho de banda de la red.
VIRUS SCRIP
Un cracker puede generar un cdigo malicioso, el cual no hace nada til o daino a la
maquina, tan solo se reproduce consumiendo gran capacidad de recursos, haciendo que
la maquina se sature y evite cualquier operacin.
DESTRUCCIN O ALTERACIN DE LA INFORMACIN DE CONFIGURACIN
Como es de conocimiento todos los equipos requieren de sistemas operativos para su
funcionamiento, un crackers, puede acceder a nuestros equipos y cambiar o borrar parte
de la informacin o de la configuracin de nuestros equipos, ocasionando que estos no
puedan arrancar o que estos no sepan domo llegar a un sitio determinado.
DESTRUCCIN O ALTERACIN FSICA DE LOS COMPONENTES DE LA RED
Este ataque es enfocado a todos los equipos fsicos de la red, como lo son los servidores,
routers, switch, bandejas de fibra y cableado, estos deben estar en un sitio seguro,

protegidos del ingreso del personal no calificado.

Cualquier alteracin en estos afecta el algoritmo P/C.
Como lo pueden evidenciar a diversas maneras de efectuar este tipo de ataques, los
cuales solo buscan causar dao a la organizacin y en especialmente afectar el algoritmo
P/C, y es nuestra responsabilidad evitar que esto suceda.
Para complementar lo anterior
les indicare unos de los procedimientos que se deben hacer para prevenir y
contrarrestar este tipo de ataques.

* Usar programas y parches para evitar el SYN flood

* Colocar listas de accesos en los routers, para que solo determinados

Sistemas puedan usarlos.
* Separar siempre la informacin crtica de la que no lo es, generando
Particiones en los discos, o guardando la informacin en lugares
Alejados de la red.
* Eliminar cualquier servicio innecesario en la red, para reducir los
Accesos posibles de crackers.
* Use los logsticos de trfico para establecer cuando la red se
Comporta de una manera anmala.
* Genere un procedimiento para revisar la integridad fsica de los
Sistemas de la red, como cableado, servidores, switch, routers
* Usar, siempre que se pueda, configuraciones de almacenamiento
Redundantes, as como conexiones de redes redundantes

Muchas gracias por la atencin prestada a este documento y deseo que lo tengan muy en
cuenta y lo pongan en prctica para negarle la oportunidad a los crackers de causarnos
contratiempos en el buen desarrollo de las actividades diarias de nuestra organizacin.

2. Toda herramienta usada en la administracin de una red, es potencialmente maligna

y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de
procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta
ladivisin de puestos de trabajo explicada en unidades anteriores.

RTA//
Como es conocimiento de todos ustedes las herramientas que empleamos para para la
administracin de nuestras redes son potencial mente benignas, por que con ellas
logramos controlar los ataques presentados por los crackers y los hacker que desean
ingresar a nuestra red.
Pero tambin son potencialmente malignas, pues si se dejan en manos inexpertas o
inescrupulosas pueden emplearse de manera negativa para nuestra organizacin.
Teniendo en cuenta lo positivas y negativas que pueden ser las herramientas empleadas
en la administracin de la red, es por eso que debemos establecer grupos de trabajo y
grupos de usuarios y as mismo los permisos y privilegios que estos tendrn en la
funcionalidad de la red.
Lo cual permitir mayor control de las herramientas y del manejo de la red.

Preguntas argumentativas
1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el
diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios para
el problema de e-mail bombing, spamming y el denial of service? Justifique su eleccin.

RTA//
DIARIOS
Creo que es indispensable realizar logsticos diarios, sobre el volumen de correo
transportado y las conexiones de red creadas durante las 24 horas del da.
Estos le permitirn a el administrador tener unas tablas comparativas del consumo de

ancho de banda, con lo cual se dar cuenta si su red esta funcionando mal o se
estasaturando, el registro de conexiones le permitir, saber cuales mquinas generaron
esas conexiones y con esto puede saber cual mquina realiza o intenta acceder a sitios
no autorizados.

SEMANALES
Logstico de el nmero de conexiones externas hechas desde el interior de la red.
Este logstico es de gran importancia pues el me le permitir al administrador de la red
saber que maquinas estn accediendo o realizando conexiones fura de la red interna y
que sitios estn visitando, de igual manera tambin se evidenciara si estos equipos
pertenecen a usuarios que cuenten con esos privilegios y si no como y porque lo estn
haciendo, adems le permitir tomar medidas correctivas a tiempo.

Logstico sobre downloads y usuario que los hizo.

Este logstico le permite al administrador de la red, saber que se esta descargando en la
red y el usuario que lo realiza, lo que le permitir saber el por que y para que lo esta
descargando y en caso de una amenaza o virus, saber sobre quien tomar las decisiones
de carcter correctivo y disciplinarios si hay lugar a ello.

Logstico grficos sobre el trfico de la red.

Este logstico es muy importante pues le permite al administrador de la red llevar unas
estadsticas del funcionamiento de la red, como cuales son las horas en las que mas se
consumen recursos y si hay fallas en ella saber cuando se presentaron, tambin le
permite saber si su ancho de banda es suficiente o es deficiente para la operacin que
esta generando la organizacin. 2. Qu tan tiles o perjudiciales pueden ser los
demonios en su red? Realice un informe en el que explique por qu se deben instalar
demonios en el sistema de comunicacin de la empresa, cules y por qu.
RTA//

Demonio: es un programa que se ejecuta en segundo plano, y que no tiene interfaz

grfica para comunicarse con el usuario. Su objetivo principal es brindar procesos y
servicios de manera silenciosa) que permite a los usuarios tener acceso de terminal a un
sistema.

Informe sobre el uso de los demonios

Como se ha podido evidenciar los demonios son herramientas que le permiten al
administrador de la red y a los usuarios acceder una gran cantidad de herramientas y
medios que le ayudaran y le facilitaran de una manera u otra el desarrollo de sus
actividades. Por esto es muy importante su empleo dentro de la red de la organizacin
Para lo cual se recomienda el empleo de los siguientes demonios:

TELNET
Es un demonio empleado para acceder desde una maquina a otra maquina que se
encuentre de la misma red de forma remota. Es herramienta es muy til para arreglar
fallas a distancia, sin necesidad de estar fsicamente en el mismo sitio donde se
encuentre la maquina que lo presento, como bien sabemos nuestra organizacin tiene
barias sucursales en las cuales hay una gran cantidad de equipos, los cuales pueden se
accedidos remotamente por esta herramienta y con ello daremos soluciones oportunas y
con esto agilizaremos nuestro trabajo.

ARGUS

Esta herramientaes muy importante por que con le permitir al administrador de la red
tener un control de las los equipos y servidores configurados de forma incorrecta, como
tambin le permitir tener un control y manejo detallado de conexiones normales y un
control detallado de los niveles de trafico inusuales

Preguntas propositivas
1. Seleccione las herramientas que considere necesarias para usar en su red de datos,
que permitan generar un control de acceso. Tenga en cuenta que estas herramientas
seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn, cree
el procedimiento de uso de cada una de las herramientas seleccionadas.

HERRAMIENTAS A EMPLEAR EN EL CONTROL DE ACCESO

Tcp-Wrapper
Se empleara la herramienta tcp-wrapper, para que cumpla su funcin e las terminales y
se usara para filtrar acceso de red a servicios de protocolos de Internet que corren en
sistemas operativos. Se aprovecharan al mximo las bondades que brinda esta
herramienta como lo es el permitir dejar una traza de las conexiones hechas en la red,
tanto a servicios admitidos como no admitidos, indicando el servicio al que se intent
acceder y la mquina que intent hacerlo.

NetLog
Se empleara esta herramienta con el propsito de tener una informacin puntual y
detallada de lo que se esta ejecutando en nuestra red.
Ya que Esta es una herramienta que genera trazas referentes a servicios basados en IP
(TCP, UDP) e ICMP, as como trfico en la red que pudiera ser sospechoso y que

indicara un posible ataque a la mquina. Est constituido por 3 subprogramas

independientes para cada servicio (TCP, UDP, ICMP), y generan estados de todas
las conexiones realizadas, indicando hora, mquina de origen y puerto de esta
conexin; 1 subprograma que monitorea la red buscando ciertos protocolos con
actividad inusual (como una conexin TFTP), y 1 subprograma que nos entrega
las estadsticas de uso de varios protocolos, que nos puede ensear cambios
sospechosos en los patrones de uso de la red.

Con el fin de detectar y contrarrestar ataques de tipo SATAN o ISS, los cuales
se llevan a cabo a gran velocidad.

SATAN (Security Administrator Tool for Analyzing Networks)

Permite chequear las mquinas que estn conectadas a la red, genera
informacin sobre el tipo de mquina conectada, los servicios que presta cada
una, y la herramienta quiz ms importante, permite detectar fallos de seguridad

Permite descubrir la topologa de la red de una organizacin, lo cual puede usarse

de buena o mala manera. Se debe tener mucho cuidado con las personas que
administran estas herramientas

Courtney

Emplearemos esta herramienta en la seguridad de nuestra red con el propsito de

detectar los ataques generados por la herramienta SATAN, al igual que las
maquinas que lo generen.

Nocol (Network Operations Center On-Line)

Se empleara esta herramienta para monitorear la red de la
Organizacin. Con el propsito de recopilar la informacin, analizarla, agrupa
en eventos, y asignarle un nivel de gravedad, que puede ser: info, warning, error, crtical.
De esta manera los administradores de la red tendrn una informacin ms puntual de lo
que pueda estar sucediendo en la red bajo su responsabilidad,
2. De la misma manera que en el caso anterior, seleccione las herramientas que usar
para chequear la integridad de su sistema y realice el procedimiento de uso de cada una
de ellas
RTA//
COPS (Computer Oracle and Password System)
Este programa se encarga de chequear aspectos de seguridad relacionados
Con el sistema operativo UNIX, como lo son los permisos a determinados archivos,

chequeo de passwords dbiles, permisos de escritura y lectura sobre elementos

importantes de la configuracin de red, entre otras funcionalidades.
Crack
Se empleara este n programa con el fin de diagnosticar que tan seguros son los
passwords que manejan los usurarios de nuestra red y de acuerdo a los resultados de
este se toman medidas para configurar los nuevos passwords que nos brinden mayor
seguridad y as evitar ser victimas de los crackers.
Tripwire
Funcin principal es la de detectar cualquier cambio o modificacin en el sistema de
archivos, como modificaciones no autorizadas o alteraciones maliciosas de algunos
softwares.
Cpm (Check Promiscuous Mode),
Nos permite detectar las mquinas que funcionan en modo promiscuo. Como lo son los
sniffers u olfateadores que pueden estar recopilando informacin de las contraseas de
la re

Nombre | Jos Heladio Guarnizo Gracia |

Fecha | 10 de Septiembre de 2012 |
Actividad | Manual de Procedimientos |
Tema | Proyecto Final PSI. |

1.- POLTICAS DE SEGURIDAD INFORMATICA.

1.1 INTRODUCCIN.

Las polticas de seguridad informtica hoy en da se ah ido implementando en las

empresas para garantizar mayor la seguridad de la informacin que se trabaja a

diario ya que en Colombia, el robo de informacin va en aumento para derrotar o
eliminar la competencia se ve nuevas plataformas tecnolgicas disponibles. La
posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a
las empresas para mejorar su productividad y poder explorar ms all de las
fronteras nacionales, llegando a competir internacionalmente; estos riesgos nos
han generado a implementar nuevas directrices que nos van a orientan en el uso
adecuado de las herramientas tecnolgicas y nos recomienda para obtener el
mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual
puede ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa

1.2 POLTICAS

En este manual de procedimientos que yo labore dejo plasmado de una forma

clara y precisa como se debe administrar las polticas de seguridad informtica
para brindar y blindar a la empresa de que personas ajenas no puedan alterar o
destruir la informacin que se maneja en ella, dejando en alto que se debe
respetar las leyes que nos rigen hoy en da, logrando el buen funcionamiento de la
misma, todo esto se debi
a un anlisis de riesgos y de vulnerabilidades en las dependencias que posee una
empresa.

1.3 OBJETIVOS

Elaborar un manual de procedimientos para mejorar la seguridad de la empresa.

Desarrollar un sistema de polticas de seguridad en el cual se ver; la planeacin,
la organizacin, las formas de dirigir y controlar las actividades que se realizaran

para mantener y garantizar la seguridad de los recursos informticos.

1.4 APLICACIN DE LAS POLTICAS DE SEGURIDAD INFORMTICA

En la actualidad hay un gran nmero de empresas, organizaciones y compaas

que se rigen por unas directrices de seguridad informtica que la realizan en
documentos como reglamentos para que cumplan los trabajadores de las mismas,
por otra parte no falta que hay una gran cantidad de inconvenientes porque las
personas son reacias al cambio y no les gusta regirse a los avances de donde
laboran; por estas personas que no quieren buscar el engranaje de la empresa es
donde estas los problemas de seguridad informtica.
Si realmente quiere que las PSI sean aceptadas, debemos realizar una integracin
a las estrategias que poseen la empresa con la misin, visin y objetivos
estratgicos para que se puedan reconocer en las utilidades de las empresas.
Y lo ms importante es que hay que sealar las PSI no son la principal garanta si
no un mecanismo para evitar que la seguridad sea un factor que facilite la
formalizacin de los empleados para que ellos materialicen las Polticas de
Seguridad Informtica
Por lo anterior es muy importante
saber la tabla de riesgo que tiene la empresa como lo reflejan las tablas que estn
reflejadas a continuacin:
Recurso del sistema | Riesgo
(Ri) | Tipo de acceso | Permisos otorgados |
No | Nombre | | | |
1 | Base de Datos contables | Contadores y auditores | local | lectura |
2 | Servidor | Personal de Mantenimiento | local | lectura y escritura |
3 | Switches, routers | Grupo de Administradores del rea de Telecomunicaciones |
Local y Remoto | Lectura y escritura |

4 | Oracle | Grupo de administradores | Local y remoto | Lectura y escritura |

5 | Intranet | personal mantenimiento | Local | lectura y escritura |
6 | Libre navegacin en la web | Grupo de personal Administrativo y personal de
atencin al usuario | Web | Libre navegacin, Grupo de Avanzados |
7 | Pgina web corporativa | Grupo Web Mster | Local y remoto | Lectura y
escritura |

Recurso del sistema | Riesgo

(Ri) | Importancia (Wi) | Riesgo evaluado (WRi = Ri * Wi) |
No | Nombre | | | |
1 | Recurso Humano | 10 | 10 | 100 |
2 | Redes | 8 | 10 | 80 |
3 | Computador | 7 | 8 | 56 |
4 | Router | 6 | 8 | 48 |
5 | Impresora | 4 | 4 | 16 |
6 | Servidor | 10 | 10 | 100 |
7 | Base de datos | 6 | 8 | 48 |
8 | Bridge | 4 | 3 | 12 |

Por lo anterior es bueno crear un LOGIN para cada trabajador que labore en el
sistema de la empresa y es bueno que el ingeniero o el tcnico encargado
implementen un directorio activo con los siguientes datos, as;
* Nombres y apellidos completos
* Cargo
* rea o dependencia
donde labora
* Telfono
* Correo electrnico

* Tipo de contrato
Y con estos datos el administrador les dar una cuenta de usuario, que puede ser
el primer nombre con la primera letra del primer y nombre completo del segundo
apellido.

Por otra parte las herramientas de control que se pueden utilizar para el uso de
administracin de redes como lo realice en la evidencia pasada son las siguientes:
NETLOG:
-Registra conexin cada milisegundo.
-Corrige ataques SATAN o ISS
-Genera Trazas
-Es un conjunto de programas:
* TCPlogger: Genera Trazas protocolo TCP
* UDPlogger: Genera Trazas protocolo UDP.
* ICMP: Genera Trazas conexin ICMP.
* Etherscan: Monitorea los protocolos y el archivo que hizo uso de dicho
protocolo.
* Nstat: Detecta cambios en la red, y da informacin sobre los periodos de tiempo

GABRIEL
-Detecta ataques SATAN.
-Genera alertas va e-mail y otras en el servidor.

COURTNEY
-Detecta ataques SATAN.
-Genera informacin procesada por TCPDump: ve la informacin de cabecera de
paquetes:
Maquina de origen.

Maquina de destino.
Protocolos Utilizados.
-Chequea los puertos en un lapso de tiempo corto

Y las herramientas que voy a utilizar para chequear la integridad del sistema de la
empresa son las siguientes:

Computer Oracle and Password System

Chequea aspectos de seguridad relacionados con el sistema operativo UNIX, con
permisos de archivo, permisos de escritura, lectura y chequea los password.

TIGER
Chequea elementos de seguridad del sistema
para detectar problemas y vulnerabilidades ayudando a configurar el sistema en
general, sistemas de archivos, caminos de bsqueda generados, alias y cuentas
de usuarios, tambin configuraciones de usuarios, chequeos de servicios y
comprobacin de nmeros binarios

CRACK
Es una herramienta virtual del sistema y permite forzar las contraseas de usuario,
para medir el grado de complejidad de las contraseas, los password de nuestro
sistema siempre estn encriptados y nunca los podemos desencriptar.

TRIPWIRE
Su funcin principal es la de detectar cualquier cambio o modificacin en el
sistema de archivos, como modificaciones no autorizadas o alteraciones
maliciosas de algunos softwares.

Para mejorar y tener una autoevaluacin a nuestro PSI es necesario implementar

un plan de accin para que cada vez que pasemos revista hagamos un plan
correctivo puntual y eficaz para ver las falencias que poseemos; porque el factor
humano como pudimos evidenciar en la tabla anterior es la que ms riesgo posee.

Una responsabilidad que tiene el supervisor de Seguridad Informtica, es

desarrollar una revisin a los dems medios de difusin (intranet, email, sitio web
oficial, revistas internas, etc.), as mismo el supervisor inmediato debe capacitar a
sus empleados en lo relacionado con los Procedimientos de Seguridad.

1.5 DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICA

En esta parte del documento se presenta una propuesta de polticas de seguridad,

como un recurso o mecanismo para mitigar los riesgos a los que
se ve expuesta la empresa, organizacin y/o compaa.
1.5.1 DISPOSICIONES GENERALES

Artculo 1.- En la presente disposicin tiene por objeto crear un medio de escrito
para controlar y velar la seguridad informtica de las diferentes reas de la
Empresa.
Artculo 2.- Para los efectos de este instrumento se entender por: Comit Al
equipo integrado por la Gerencia, los Jefes de rea y el personal administrativo
(ocasionalmente) convocado para fines especficos como:
Adquisiciones para la compra de nuevos Hardware y software para la empresa.
Establecimiento de la Arquitectura tecnolgica de la empresa.
Y para la administracin de la Seguridad Informtica: debe estar integrada por la
Gerencia y Jefes de rea, las cuales son responsables de:
Velar por el buen funcionamiento de las herramientas tecnolgicas que se van a

utilizar en las diferentes reas de la empresa.

Elaborar y efectuar seguimiento el Plan de accin de la empresa verificando
todas la normatividad vigente de la misma.
Elaborar el plan correctivo realizando en forma clara cada dependencia de la
empresa para poder corregirlo, y en las futuras revistas poder tener solucionado
las novedades encontradas y levar a un margen de error de cero.
Definir estrategias y metas a corto, mediano y largo plazo
Controlar la calidad del servicio brindado
Artculo 3.- Para los efectos de este manual de procedimientos, se entiende por
Polticas en Informtica, al conjunto de reglas obligatorias, que deben cumplir por
todo el personal que labora
e nuestra empresa.
Artculo 4.- La instancia rectora de los sistemas de informtica de la empresa es
la Gerencia, y el organismo competente para la aplicacin de este ordenamiento,
es el Comit que fue nombrado.

1.5.2 DIRECTIVA PARA LA COMPRA DE BIENES INFORMTICOS

Artculo 5.- Para toda compra que se haga en tecnologa informtica se realizara
a travs del Comit, que est conformado por el personal de la Administracin de
Informtica.
Artculo 6.- La compra de los bienes de Informtica en la empresa, quedar sujeta
a la directiva que rige la empresa.
Artculo 7.- El comit de la administracin de la Informtica de la empresa debe
planear las operaciones para la compra de los bienes informticos que se
necesitan con prioridad y en su eleccin deber tomar en cuenta: el estudio
tcnico, precio, calidad, experiencia, desarrollo tecnolgico, estndares y
capacidad, entendindose por:

Precio: Costo inicial, costo de mantenimiento y consumibles por el perodo

estimado de uso de los equipos;
Calidad: Parmetro cualitativo que especifica las caractersticas tcnicas de los
recursos informticos.
Experiencia: Presencia en el mercado nacional e internacional, estructura de
servicio, la confiabilidad de los bienes y certificados de calidad con los que se
cuente.
Desarrollo Tecnolgico: Se deber analizar su grado de obsolescencia, su nivel
tecnolgico con respecto a la oferta existente y su permanencia en el mercado.
Estndares: Toda adquisicin se basa en los estndares, es decir la arquitectura
de
grupo empresarial establecida por el Comit. Esta arquitectura tiene una
permanencia mnima de dos a cinco aos.
Capacidades: Se deber analizar si satisface la demanda actual con un margen de
holgura y capacidad de crecimiento para soportar la carga de trabajo del rea.
Artculo 8.- Para la compra de Hardware se observar lo siguiente:
El equipo que se desee adquirir deber estar dentro de las listas de ventas
vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estndares
de la empresa.
Los equipos complementarios debern tener una garanta mnima de un ao y
debern contar con el servicio tcnico correspondiente en el pas.
Debern ser equipos integrados de fbrica o ensamblados con componentes
previamente evaluados por el Comit.
La marca de los equipos o componentes deber contar con presencia y
permanencia demostrada en el mercado nacional e internacional, as como con
asistencia tcnica y refaccionaria local.
Los dispositivos de almacenamiento, as como las interfaces de entrada-salida,
debern estar acordes con la tecnologa de punta vigente, tanto en velocidad de

transferencia de datos, como en procesamiento.

Las impresoras debern apegarse a los estndares de Hardware y Software
vigente en el mercado y en la empresa, coincidiendo que los suministros (cintas,
papel, etc.) se consigan fcilmente en el mercado.
En lo que se refiere a los servidores, equipos de comunicaciones, que se
justifiquen por ser de operacin crtica y/o de alto costo, deben de contar con un
programa de mantenimiento preventivo y correctivo que incluya el suministro de
refacciones al vencer su perodo de garanta.
En lo que se refiere a los computadores denominados personales, al vencer su
garanta por adquisicin, deben de contar por lo menos con un programa de
servicio de mantenimiento correctivo que incluya el suministro de refacciones.

1.5.3 INSTALACIONES DE LOS EQUIPOS DE CMPUTO

Artculo 9.- La instalacin de los equipos de cmputo, las redes y/o accesorios
que se necesitan para la empresa, quedar sujeta a los siguientes directrices:
Los equipos y las redes para uso de la empresa se instalarn en lugares
adecuados, lejos de polvo y trfico de personas.
La Administracin de Informtica, as como las reas operativas debern contar
con un mapa actualizado de las redes, equipos, instalaciones elctricas y de
comunicaciones de la red.
Las instalaciones elctricas y redes, estarn fijas o resguardadas del paso de
personas o mquinas, y libres de cualquier peligro elctrico o magnetismo.
Artculo 10.- La supervisin y control de las redes se llevar a cabo en los plazos
y mediante los mecanismos que establezca el Comit o la empresa.

1.5.4 DIRECTRICES DE LA INFORMACIN

Artculo 11.- La informacin almacenada en medios magnticos o fsicos se

deber inventariar, anexando la descripcin y las especificaciones de la misma,
clasificndola en tres categoras:
Informacin histrica.
Informacin de inters.
Informacin de inters exclusivo de alguna dependencia en particular.
Artculo
12.- Los jefes de las dependencias responsables de la informacin contenida en
la oficina a su cargo, delegaran responsabilidades a sus subordinados y
determinarn quien est autorizado a efectuar operaciones salientes con dicha
informacin tomando las medidas de seguridad pertinentes.
Artculo 13.- Se establecern tres tipos de prioridad para la informacin de la
dependencia:
Informacin vital.
Informacin necesaria.
Informacin ocasional o eventual.
Artculo 14.- La informacin vital para el funcionamiento de la dependencia, se
debern tener un buen proceso a la informacin, as como tener el apoyo diario de
las modificaciones efectuadas y guardando respaldos histricos semanalmente.
Artculo 15.- La informacin necesaria pero no indispensable, deber ser
respaldada con una frecuencia mnima de una semana, rotando los dispositivos de
apoyo y guardando respaldos histricos mensualmente.
Artculo 16.- La informacin ocasional o eventual queda a criterio de la
dependencia.
Artculo 17.- La informacin almacenada en medios magnticos, de carcter
histrico, quedar documentada como activos de la dependencia y estar
debidamente resguardada en su lugar de almacenamiento.
Es obligacin del responsable del rea, la entrega conveniente de la informacin,

a quien le suceda en el cargo en medio de un fsico.

1.5.5 FUNCIONAMIENTO DE LAS REDES Y EQUIPOS.

Artculo 18.- Una obligacin del comit de la Administracin de Informtica es

vigilar que las redes y los equipos se usen bajo
las condiciones especificadas por el proveedor y de acuerdo a las funciones de la
dependencia a la que fue asignado.
Artculo 19.- El personal ajeno de la empresa al usar la red o un equipo de
cmputo, debe estar su vigilado por un miembro de la empresa y se abstendrn de
consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del
mismo o deterioren la informacin almacenada en medios magnticos, pticos, o
medios de almacenamiento removibles de ltima generacin.
Artculo 20.- Por seguridad de los recursos informticos se deben establecer
seguridades:
Fsicas
Sistema Operativo
Software
Redes
Base de Datos
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal
autorizado para tal fin.
Verificar la informacin que provenga de fuentes externas a fin de examinar que
est libre de cualquier agente contaminante o perjudicial para el funcionamiento de
los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento
Artculo 21.- En ningn caso se autorizar la utilizacin de dispositivos ajenos a

los procesos informticos de la dependencia, por consecutivo, se prohbe el

ingreso y/o instalacin de hardware y software a particulares, es decir que no sea
propiedad de la empresa, excepto en casos urgentes que el comit o los directivos
de la empresa autoricen.

1.5.6 MANIOBRAS INFORMTICAS

Artculo 22.- La maniobra informtica de la empresa se consolida como el plan

maestro
de Informtica y est orientada hacia los siguientes puntos:
Plataforma de Sistemas Abiertos (Portables).
Esquemas de operacin bajo el concepto multicapas.
Estandarizacin de hardware, software base, utilitarios y estructuras de datos
Intercambio de experiencias entre las dependencias.
Manejo de proyectos conjuntos con las diferentes dependencias.
Programa de capacitacin permanente para los colaboradores de la empresa.
Artculo 23.- Para la elaboracin de los proyectos se tomara en cuentan tanto las
necesidades de las dependencias, las redes, equipos y accesorios de los mismos,
como la disponibilidad de recursos con que cuenta la empresa.

1.5.7 PARTE FSICO

Artculo 24.- Slo el personal autorizado est permitido al acceso a las

instalaciones donde se almacena la informacin confidencial de la empresa.
Artculo 25.- Slo bajo la vigilancia de personal autorizado, puede el personal
externo entrar en las instalaciones donde se almacena la informacin confidencial,
y durante un perodo de tiempo justificado previa autorizacin de las directivas de
la empresa.

1.5.8 USUARIO Y CONTRASEAS

Artculo 26.- Todos los que laboren en la parte de las dependencias de la

empresa deben tener un usuario con acceso a un sistema de informacin o a una
red informtica, colocando una nica autorizacin de acceso compuesta de
usuario y contrasea.
Artculo 27.- Ningn trabajador tendr acceso a la red, recursos informticos o
aplicaciones hasta que no acepte formalmente la Poltica de Seguridad
vigente de la empresa.
Artculo 28.- Los usuarios tendrn acceso autorizado solo a los recursos que le
asignen la empresa para el desarrollo de sus funciones, conforme a los criterios
establecidos por la misma.
Artculo 29.- La contrasea tendr una longitud mnima de igual o superior a ocho
caracteres, y estarn constituidas por combinacin de caracteres alfabticos,
numricos y especiales.
Artculo 30.- Los identificadores para usuarios temporales se configurarn para un
corto perodo de tiempo. Una vez expirado dicho perodo, se desactivarn de los
sistemas inmediatamente.

1.5.9 RESPONSABILIDADES.

Artculo 31.- Los usuarios son responsables de toda actividad relacionada con el
uso de su acceso autorizado que la empresa le asigno.
Artculo 32.- Los usuarios no deben revelar bajo ningn concepto su contrasea a
ninguna persona ni mantenerla por escrito a la vista, ni al alcance de terceros.
Artculo 33.- Los usuarios no deben utilizar ningn acceso o contrasea de otro
usuario, aunque dispongan de la autorizacin del propietario.

Artculo 34.- Si un usuario tiene sospechas de que su identificador de usuario y

contrasea est siendo utilizado por otra persona, debe proceder al cambio de su
contrasea e informar a su jefe inmediato y ste reportar al responsable de la
administracin de la red.
Artculo 35.- El Usuario debe utilizar una contrasea compuesta por un mnimo de
ocho caracteres constituida por una combinacin de caracteres alfabticos,
numricos y especiales.
Artculo 36.- En el caso
que el sistema no lo solicite automticamente, el usuario debe cambiar su
contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr
denegar el acceso y se deber contactar con el jefe inmediato para solicitar al
administrador de la red una nueva clave.
Artculo 37.- Utilizar el menor nmero de listados que contengan datos de
carcter personal y mantener los mismos en lugar seguro y fuera del alcance de
terceros.
Artculo 38.- Cuando entre en posesin de datos de carcter personal, se
entiende que dicha posesin es estrictamente temporal, y debe devolver los
soportes que contienen los datos inmediatamente despus de la finalizacin de las
tareas que han originado el uso temporal de los mismos.
Artculo 39.- Los usuarios slo podrn crear ficheros que contengan datos de
carcter personal para un uso temporal y siempre necesario para el desempeo
de su trabajo. Estos ficheros temporales nunca sern ubicados en unidades
locales de disco de la computadora de trabajo y deben ser destruidos cuando
hayan dejado de ser tiles para la finalidad para la que se crearon.
Artculo 40.- Los usuarios deben notificar a su jefe inmediato cualquier incidencia
que detecten que afecte o pueda afectar a la seguridad de los datos de carcter
personal: prdida de listados y/o informacin, sospechas de uso indebido del
acceso autorizado por otras personas.

Artculo 41.- Los usuarios nicamente introducirn datos identificativos y

direcciones o telfonos de personas en las agendas de contactos de las
herramientas
informticas.

1.5.10 VARIOS

Artculo 42.- Toda salida de informacin (en soportes informticos o por correo
electrnico) slo podr ser realizada por personal autorizado y ser necesaria la
autorizacin formal del responsable del rea del que proviene.
Artculo 43.- Adems, en la salida de datos especialmente protegidos (como son
los datos de carcter personal para los que el Reglamento requiere medidas de
seguridad de nivel alto), se debern cifrar los mismos o utilizar cualquier otro
mecanismo que garantice que la informacin no sea intangible ni manipulada
durante su transporte.
Artculo 44.- La autorizacin de acceso a Internet se concede exclusivamente
para actividades de trabajo no para beneficio personal.
Artculo 45.- El acceso a Internet se restringe exclusivamente a travs de la Red
establecida para ello, es decir, por medio del sistema de seguridad con
cortafuegos incorporado en la misma. No est permitido acceder a Internet
llamando directamente a un proveedor de servicio de acceso y usando un
navegador, o con otras herramientas de Internet conectndose con un mdem.
Artculo 46.- Internet es una herramienta de trabajo. Todas las actividades deben
estar en relacin con tareas y actividades del trabajo por el usuario.
Artculo 47.- Slo puede haber transferencia de datos a Internet en conexin con
actividades propias del trabajo desempeado no personales.
Artculo 48.- En caso de tener que producirse una transmisin de datos
importante, confidencial o relevante, slo se podrn

transmitir en forma encriptado.

Artculo 49.- Debido a la propia evolucin de la tecnologa y las amenazas de
seguridad, y a las nuevas aportaciones legales en la materia, la empresa se
reserva el derecho a modificar esta Poltica cuando sea necesario. Los cambios
realizados en esta Poltica sern divulgados a todos los empleados y
colaboradores de la misma.
Artculo 50.- Es responsabilidad de cada uno de los trabajadores de la empresa la
lectura y conocimiento de la Poltica de Seguridad Informtica reciente.
Artculo 51.- Los artculos aqu escritos, entrarn en funcionamiento a partir del
da siguiente de su difusin.
Artculo 52.- Las normas y polticas objeto de este documento, podrn ser
modificadas o adecuadas conforme a las necesidades que se vayan presentando,
mediante acuerdo del Comit y las directivas de la empresa; una vez aprobadas
dichas modificaciones o adecuaciones, se establecern su vigencia.
Artculo 53.- Las disposiciones aqu descritas constarn de forma detallada en los
manuales de polticas y procedimientos especficos.
Artculo 54.- La falta de conocimiento de las normas aqu descritas por parte de
los trabajadores no los libera de la aplicacin de sanciones y/o penalidades por el
incumplimiento de las mismas.

Los beneficios de las polticas de seguridad informtica son claramente

concebidos y fueron elaboradas por la empresa, que se refleja en los siguientes
puntos:
Aumento de la productividad.
Aumento de la motivacin del personal.
Compromiso con la misin de la

pantallaso juego 2